Perburuan Ancaman di Jaringan: Panduan Pengantar
Perburuan ancaman selama ini dilakukan pada endpoint atau menggunakan log. Tim keamanan dan respons insiden (IR) lebih memilih pendekatan berbasis endpoint dan log karena metode ini sudah mapan, mudah diakses, dan umumnya intuitif untuk menemukan ancaman yang sudah dikenal. Namun, pendekatan tradisional ini tidak mampu mendeteksi vektor serangan yang belum diketahui dan aktor ancaman yang mungkin telah mengeksploitasi kelemahan sebelumnya.
Forensik endpoint dan log peristiwa bergantung pada indikator kompromi (IOC) yang telah dikenal dan bentuk intelijen ancaman lainnya. Oleh karena itu, untuk menggunakannya secara efektif, kita harus tahu apa yang sedang dicari. Jika tidak, penyerang dapat tetap beroperasi tanpa terdeteksi, semakin menanamkan diri mereka di dalam jaringan atau bahkan mengeksploitasinya secara aktif.
Selain itu, aktor ancaman terus berinovasi dalam mencari cara untuk melewati alat forensik endpoint. Kebocoran Shadow Brokers pada tahun 2017 yang melibatkan alat peretasan ofensif dari National Security Agency (NSA) telah memberi penyerang akses terhadap teknologi yang memungkinkan mereka memodifikasi log Windows Event dan menghapus jejak aktivitas mereka. Inilah mengapa perburuan ancaman berbasis jaringan menjadi sangat penting bagi tim keamanan saat ini.
Dalam situasi di mana kita tidak mencari IOC tertentu, melainkan indikator perilaku aktivitas mencurigakan atau taktik, teknik, dan prosedur (TTP) yang dikaitkan dengan aktor ancaman tertentu, pendekatan berbasis jaringan jauh lebih efektif dibanding metode tradisional yang semakin rentan dieksploitasi.
Meskipun lebih kompleks, pendekatan berbasis jaringan lebih unggul dalam perburuan ancaman karena bergantung pada analisis packet capture (PCAP). Analisis PCAP memberikan tampilan yang tidak dapat diubah, komprehensif, dan terperinci tentang semua lalu lintas jaringan yang masuk, keluar, dan bergerak dalam lingkungan TI organisasi.
Kelengkapan data ini, dikombinasikan dengan ketidakmampuan aktor ancaman untuk mengubah data jaringan yang ditangkap oleh sensor PCAP, memungkinkan tim keamanan menetapkan fakta dalam investigasi siber. Kepastian yang ditingkatkan melalui analisis paket ini menjelaskan mengapa tim forensik siber tingkat tinggi, seperti Mandiant, mengalokasikan sumber daya yang signifikan untuk investigasi paket dalam penanganan insiden klien mereka.
Keterbatasan Metode Perburuan Ancaman Berbasis Endpoint dan Log
Perburuan ancaman berbasis endpoint menggunakan teknologi forensik endpoint dan alat sumber terbuka terkait. Pendekatan ini mencakup teknik seperti analisis memori dengan volatility, analisis sistem dengan The Sleuth Kit, analisis malware dengan Joe Sandbox, serta pemeriksaan manual database Windows Registry. Namun, kelemahan dari metode ini adalah hanya dapat mengidentifikasi ancaman yang sudah terdaftar dalam basis data malware.
Sementara itu, analisis log secara tradisional dianggap lebih mudah dibandingkan inspeksi paket. Biasanya, investigasi log melibatkan pencarian dan analisis log firewall serta proxy untuk IOC yang diketahui. Log yang sering diperiksa mencakup permintaan DNS, permintaan HTTP, dan aktivitas Server Name Indication (SNI) dalam lalu lintas TLS.
Namun pada akhirnya, analisis log hanyalah proses pencocokan tanda tangan (signature matching) terhadap ancaman yang sudah dikenal, bukan perburuan ancaman yang sebenarnya. Selain itu, analisis log memiliki kelemahan besar karena aktor ancaman yang lebih canggih sering menghapus atau mengubah file log untuk menyembunyikan aktivitas mereka. Sebaliknya, analisis paket menangkap esensi perburuan ancaman di lanskap serangan modern karena berfokus pada identifikasi ancaman yang sebelumnya tidak diketahui.
Kekuatan Investigasi Berbasis Paket
Perburuan ancaman di jaringan ibarat mencari jarum dalam tumpukan jerami—tanpa mengetahui apakah jarum itu benar-benar ada. Dengan analisis paket, tim respons insiden harus menemukan ancaman secara mandiri.
Bagi yang belum familiar, paket adalah komponen dasar dari jaringan digital modern. Sebuah paket adalah blok data yang dikumpulkan dan ditransfer melalui jaringan komputer. Setiap paket membawa informasi alamat yang membantu mengidentifikasi komputer pengirim dan penerima pesan melalui berbagai sidik jari digital unik.
Paket jaringan terdiri dari tiga bagian utama: header, payload, dan trailer. Ukuran dan struktur paket bergantung pada arsitektur atau protokol jaringan yang digunakan. Dalam investigasi berbasis paket, analis memasuki lingkungan TI dengan asumsi bahwa jaringan telah dikompromikan, meskipun mereka tidak memiliki intelijen ancaman atau IOC sebelumnya sebagai panduan.
Jenis perburuan ini dilakukan di dalam perimeter jaringan, dengan menargetkan indikator seperti aktivitas pengintaian (reconnaissance), pergerakan lateral, dan eksploitasi layanan. Protokol umum yang digunakan untuk perburuan ancaman di luar perimeter jaringan meliputi DNS, HTTP, SSL/TLS, dan FTP. Sementara itu, perburuan ancaman internal yang lebih spesifik dapat melibatkan analisis protokol seperti Server Message Block (SMB), yang sering digunakan untuk mendeteksi aktivitas enkripsi file ransomware.
Bagaimana RevealX Memperkuat Perburuan Ancaman
Dalam lanskap ancaman yang terus berkembang dengan aktor ancaman yang semakin canggih, pendekatan berbasis jaringan menjadi sangat penting bagi tim keamanan. Namun, membangun aplikasi pemantauan jaringan generasi berikutnya secara internal sangat tidak praktis bagi sebagian besar organisasi. Proses ini membutuhkan keahlian khusus, kapasitas pusat data yang besar, serta pemahaman mendalam tentang berbagai protokol jaringan.
Nilai utama yang ditawarkan oleh solusi Network Detection and Response (NDR) adalah kemampuannya dalam menangkap data komunikasi jaringan dan metadata secara otomatis, real-time, serta dalam skala cloud. Jika diterapkan dengan baik, NDR memberikan visibilitas menyeluruh ke dalam lingkungan TI organisasi dan semua data yang mengalir di dalamnya.
Investigasi jaringan yang efektif didasarkan pada investigasi berbasis hipotesis, analitik perilaku tingkat lanjut, dan pemrosesan data berbasis machine learning. Teknologi machine learning sangat penting dalam mendeteksi anomali jaringan. Meskipun tidak selalu menandakan aktivitas berbahaya, ketidakwajaran dalam aliran data jaringan dan perilaku pengguna dapat menjadi petunjuk keberadaan rantai serangan aktor ancaman.
Organisasi sebaiknya mengotomatisasi fungsi perburuan ancaman berbasis jaringan dengan menerapkan solusi NDR yang telah teruji, seperti RevealX dari ExtraHop. Solusi NDR yang andal akan mendeteksi ancaman dan secara otomatis menampilkan korelasi serangan, memungkinkan pengguna melihat seluruh serangan serta komponen yang terlibat. Kemampuan ini membantu tim keamanan memahami bagaimana penyerang masuk ke jaringan mereka, sistem apa saja yang terpengaruh, serta file atau akun yang dikompromikan.
RevealX unggul dalam mendeteksi pergerakan lateral dan memberikan rantai bukti yang dapat diikuti secara intuitif, melacak semua jejak penyerang dari titik masuk hingga penyebaran lebih lanjut di dalam jaringan. Kemampuan deteksi pergerakan lateral dalam RevealX diperkuat dengan kemampuannya untuk mendekripsi lalu lintas SSL dan TLS 1.3 serta menganalisis lebih dari 90 protokol jaringan, termasuk berbagai protokol Microsoft. Dengan teknologi dekripsi paten-protected, RevealX adalah satu-satunya penyedia dalam ruang NDR yang mampu mendekripsi protokol Microsoft dalam jaringan.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Extrahop menyediakan solusi terbaik untuk keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di extrahop.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!